Важное уведомление: |
В этом примере показано, как использовать мастер настройки VPN для создания VPN-туннеля IPSec Site to Site между устройствами ZyWALL/USG. Пример показывает, как настроить VPN туннель между каждым сайтом, когда один сайт находится за NAT маршрутизатором (также известный как Double-NAT). Когда VPN-туннель IPSec Site to Site настроен, к каждому сайту можно получить безопасный доступ.
Содержание
| 1 Настройка туннеля IPSec VPN | 2 Настройка IPSec VPN-туннеля | Настройка маршрутизатора Nat | Протестируйте результат |
| 1 Быстрая настройка | 1 Быстрая настройка | 1 Правило Nat | 1 Проверка соединения |
| 2 Мастер | 2 Мастер | 2 Переадресация IP-адресов | 2 Монитор |
| 3 Настройки VPN | 3 Настройки VPN | 3 попытка пинга | |
| 4 Локальная/удаленная политика | 4 Локальная/удаленная политика | ||
| 5 Сводка по настройке VPN | 5 Сводка по настройке VPN | ||
| 6 Мастер завершен | 6 Мастер завершен | ||
| 7 Тип идентификатора пира | 7 Тип идентификатора сверстника |
НАСТРОЙКА/ПОШАГОВАЯ ПРОЦЕДУРА:
Настройка ZyWALL/USG IPSec VPN туннеля корпоративной сети (штаб-квартира)
1. В ZyWALL/USG используйте мастер VPN Settings для создания VPN правила, которое можно использовать с FortiGate. Нажмите Далее.
Быстрая настройка > Мастер настройки VPN > Приветствие
2. Выберите Экспресс, чтобы создать правило VPN с настройками фазы 1 и фазы 2 по умолчанию и использовать предварительный ключ в качестве метода аутентификации. Нажмите Далее.
Быстрая настройка > Мастер настройки VPN > Тип мастера
3. Введите Имя правила, используемое для идентификации этого VPN-соединения (и VPN-шлюза). Вы можете использовать 1-31 буквенно-цифровой символ. Это значение чувствительно к регистру. Выберите правило, которое будет Site-to-site. Нажмите Далее.
Быстрая настройка > Мастер настройки VPN > Тип мастера > Параметры VPN (сценарий)
4. Настройте Secure Gateway IP как IP-адрес WAN филиала (в примере 172.100.30.40). Затем введите безопасный ключ Pre-Shared Key (8-32 символа).
Настройте локальную политику на диапазон IP-адресов сети, подключенной к ZyWALL/USG (Центральный офис), а удаленную политику - на диапазон IP-адресов сети, подключенной к ZyWALL/USG (Филиал).
Быстрая настройка > Мастер настройки VPN > Тип мастера > Настройки VPN (Конфигурация).
5. На этом экране отображается сводная информация о туннеле VPN, доступная только для чтения. Нажмите Сохранить.
Быстрая настройка > Мастер настройки VPN > Добро пожаловать > Тип мастера > Настройки VPN (Сводка)
6. Теперь правило настроено на ZyWALL/USG. Настройки правил фазы появятся здесь
Фаза 1: VPN > IPSec VPN > VPN шлюз
Фаза 2: VPN > IPSec VPN > VPN подключение
Быстрая настройка > Мастер настройки VPN > Добро пожаловать > Тип мастера > Настройки VPN > Мастер завершен.
7. Настройте Peer ID Type как Any, чтобы ZyWALL/USG не требовалось проверять идентификационные данные удаленного IPSec маршрутизатора.
КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN шлюз > Показать дополнительные настройки > Аутентификация > Peer ID Type.
Настройка ZyWALL/USG IPSec VPN туннеля корпоративной сети (филиал)
1. В ZyWALL/USG используйте мастер настройки VPN для создания VPN правила, которое можно использовать с FortiGate. Нажмите Далее.
Быстрая настройка > Мастер настройки VPN > Добро пожаловать
2. Выберите Экспресс, чтобы создать правило VPN с настройками фазы 1 и фазы 2 по умолчанию и использовать предварительный ключ в качестве метода аутентификации. Нажмите Далее.
Быстрая настройка > Мастер настройки VPN > Тип мастера
3. Введите Имя правила, используемое для идентификации этого VPN-соединения (и VPN-шлюза). Вы можете использовать 1-31 буквенно-цифровой символ. Это значение чувствительно к регистру. Выберите правило, которое будет Site-to-site. Нажмите Далее.
Быстрая настройка > Мастер настройки VPN > Тип мастера > Параметры VPN (сценарий)
4. Настройте Secure Gateway IP как IP-адрес WAN филиала (в примере 172.100.20.30). Затем введите безопасный ключ Pre-Shared Key (8-32 символа).
Настройте локальную политику на диапазон IP-адресов сети, подключенной к ZyWALL/USG (Центральный офис), а удаленную политику - на диапазон IP-адресов сети, подключенной к ZyWALL/USG (Филиал).
Быстрая настройка > Мастер настройки VPN > Тип мастера > Настройки VPN (Конфигурация).
5. На этом экране отображается сводная информация о туннеле VPN, доступная только для чтения. Нажмите Сохранить.
Быстрая настройка > Мастер настройки VPN > Добро пожаловать > Тип мастера > Настройки VPN (Сводка)
6. Теперь правило настроено на ZyWALL/USG. Настройки правил фазы появятся здесь
Фаза 1: VPN > IPSec VPN > VPN шлюз
Фаза 2: VPN > IPSec VPN > VPN подключение
Быстрая настройка > Мастер настройки VPN > Добро пожаловать > Тип мастера > Настройки VPN > Мастер завершен.
7. Настройте Peer ID Type как Any, чтобы ZyWALL/USG не требовалось проверять идентификационные данные удаленного IPSec маршрутизатора.
КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-шлюз > Показать дополнительные настройки > Аутентификация > Peer ID Type.
Настройка NAT-маршрутизатора (в данном примере используется устройство ZyWALL USG)
1. Выберите входящий интерфейс, на котором должны приниматься пакеты для правила NAT. Укажите поле User-Defined Original IP и введите переведенный IP-адрес назначения, который поддерживает данное правило NAT.
КОНФИГУРАЦИЯ > Сеть > NAT > Добавить
2. IP-переадресация должна быть включена на брандмауэре для следующих IP-протоколов и UDP-портов:
IP-протокол = 50 → Используется путем передачи данных (ESP)
IP протокол = 51 → Используется для передачи данных (AH)
Номер порта UDP = 500 → Используется IKE (путь управления IPSec)
Номер порта UDP = 4500 → Используется NAT-T (IPsec NAT traversal).
КОНФИГУРАЦИЯ > Политика безопасности > Контроль политики
ВЕРИФИКАЦИЯ:
Проверка VPN-туннеля IPSec
1. Перейдите в
КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN соединение
нажмите кнопку Подключить на верхней панели. Значок Status connect светится, когда интерфейс подключен.
2. Проверьте время работы туннеля и входящий(байты)/исходящий(байты) трафик.
МОНИТОР > VPN Monitor > IPSec
3. Чтобы проверить, работает туннель или нет, выполните ping с компьютера на одном сайте на компьютер на другом. Убедитесь, что оба компьютера имеют доступ в Интернет (через устройства IPSec).
ПК за ZyWALL/USG (HQ) > Window 7 > cmd > ping 192.168.20.33
ПК за ZyWALL/USG (филиал) > Window 7 > cmd > ping 10.10.10.33
Что может пойти не так?
1. Если вы видите следующее сообщение журнала [info] или [error], проверьте настройки ZyWALL/USG фазы 1. Оба ZyWALL/USG в центральном офисе и филиале должны использовать один и тот же Pre-Shared Key, шифрование, метод аутентификации, группу ключей DH и тип ID для создания IKE SA.
МОНИТОР > Журнал
2. Если вы видите, что процесс Фазы 1 IKE SA завершен, но все еще получаете сообщение журнала [info], проверьте настройки Фазы 2 ZyWALL/USG. Оба ZyWALL/USG в центральном офисе и филиале должны использовать один и тот же протокол, инкапсуляцию, шифрование, метод аутентификации и PFS для создания IKE SA.
МОНИТОР > Журнал
3. Убедитесь, что обе политики безопасности ZyWALL/USG на центральном офисе и филиале разрешают трафик IPSec VPN. IKE использует UDP порт 500, AH использует IP протокол 51, а ESP использует IP протокол 50.
4. Обход NAT по умолчанию включен на ZyWALL/USG, пожалуйста, убедитесь, что на удаленном IPSec устройстве также включен обход NAT.
Также интересно:
Хотите взглянуть непосредственно на одно из наших тестовых устройств? Посмотрите здесь, в нашей виртуальной лаборатории:
Virtual LAB - Site to Site VPN
KB-00167